Advanced Malware: Fünf Best Practices zum Schutz gegen Spionage und Datendiebstahl

Illustration: Geralt Absmeier

Cyberkriminelle nutzen Advanced Malware, um in Netzwerke einzudringen und sich dort möglichst lange unentdeckt aufzuhalten. Ziel ist in der Regel Spionage und Datendiebstahl. Opfer sind diejenigen, bei denen es möglichst wertvolle Informationen zu holen gibt, beispielsweise Industrieunternehmen, die Finanzbranche oder Regierungsbehörden.

 

Advanced Malware, auch als Advanced Persistent Threats (APT) bezeichnet, sind Malware-Stämme, die mit erweiterten Funktionen für die Infektion, Kommunikation, Steuerung, Bewegung im Netzwerk oder Datenexfiltration- und Payload-Exekution ausgestattet sind. Dabei ist die Schadware darauf auslegt, möglichst unentdeckt und hartnäckig zu sein, und entgeht der Erkennung durch herkömmliche Antivirenlösungen. Aufgrund der ausgeklügelten Angriffsmöglichkeiten und der Geschwindigkeit, mit der Cyberkriminelle immer neue Malware-Versionen entwickeln, sind in den letzten Jahren die APT-Attacken deutlich gestiegen.

Anzeige

 

Das Vorgehen der Cyberkriminellen: Wie Advanced Malware funktioniert

 

Anzeige

Advanced-Malware-Angriffe folgen in der Regel einer gemeinsamen Angriffsabfolge:

 

  1. Planung: In dieser Phase wählen Cyberkriminelle ein Ziel aus und untersuchen dessen Infrastruktur, um festzustellen, wie die Malware eingeführt wird, welche Kommunikationsmethoden während des Angriffs verwendet und wie und wo Daten extrahiert werden sollen. Bei Advanced-Malware-Attacken beinhaltet diese Phase typischerweise die Planung gezielter Social-Engineering-Angriffe.
  2. Malware-Einführung: In diesem Stadium wird Malware zur Erstinfektion an die Opfer abgegeben. Dies geschieht häufig über Spear-Phishing-E-Mails mit infizierten Anhängen oder über Drive-by-Angriffe durch eine verseuchte Website.
  3. Command and Control: Advanced Malware kommuniziert mit dem Angreifer, um ihm erkannte Informationen zu senden und zusätzliche Befehle von ihm zu erhalten. Die Schadware sendet Benutzer-, Netzwerk- und Maschineninformationen an den Hacker und erhält von ihm neue Anweisungen, welche Identitäten oder Maschinen als nächstes infiziert werden sollen, wie man die Ziele identifiziert sowie Anweisungen zur Datenexfiltration.
  4. Ausweitung der Infizierung: Advanced Malware verfügt oft über robuste Selbstvermehrungsfunktionen, um Ziele schnell zu identifizieren und zu infizieren. Angreifer werden solange wie möglich das Netzwerk erforschen und Malware verbreiten, bis sie diejenigen Computer oder Systeme infizieren, die Zugriff auf wertvolle Daten haben.
  5. Zielerkennung: Sobald der Angreifer Fuß gefasst und das Netzwerk erkundet hat, werden die Ziele für die Endphase der Malware-Ausbreitung identifiziert. In diesem Stadium wird die Malware auf Computer oder Systeme verbreitet, die die gewünschten Daten enthalten.
  6. Exfiltration: Nun wird die Malware-Payload ausgeführt. Bei einem Angriff, der sich auf Datendiebstahl konzentriert, ist dies die Phase, in der gezielte Daten gesammelt und an einen vom Angreifer kontrollierten Ort übertragen werden. Advanced Malware verwendet Verschleierungstechniken, um diese Exfiltration sowie andere Aktivitäten zu verbergen, zum Beispiel die Verschlüsselung oder Komprimierung von Dateien mit Hilfe von Krypto- und Packer-Tools.
  7. Rückzug: Nachdem ein Advanced-Malware-Angriff abgeschlossen ist, zieht sich die Malware oft zurück und versteckt sich in einem Computernetzwerk oder zerstört sich selbst, je nach Zielorganisation und der Wahrscheinlichkeit einer Entdeckung durch Sicherheitssysteme.

 

Best Practices zum Schutz vor Advanced Malware-Angriffen

 

  • Kontext- und verhaltensbasierte Erkennung von Anomalien: Die von Advanced Malware eingesetzten Verschleierungstechniken machen viele traditionelle Sicherheitslösungen unwirksam, um Angriffe zu erkennen oder abzuwehren. Deshalb wenden sich Unternehmen Lösungen zu, die kontext- und verhaltensbasierte Erkennung einsetzen, um Malware anhand ihrer Aktivität, statt durch Signaturen zu identifizieren und zu stoppen. Um die Erkennung von Advanced-Malware-Angriffen zu verbessern, sollten IT-Teams auf erhöhte Bedrohungsaktivitäten oder anderes anomales Verhalten in Systemen achten. Sie sollten zudem Endpunkte auf Warnzeichen für einen Advanced-Malware-Angriff überwachen, einschließlich Netzwerkerkundung, verdächtige Dateiübertragungen und Kommunikation mit verdächtigen Befehls- und Steuerservern.
  • Sandboxing: Advanced-Threat-Detection-Lösungen bieten Sandboxing und die Überwachung zur Erkennung von Advanced-Malware-Angriffen. Sandboxing ermöglicht es, die verdächtige Datei in einer isolierten Umgebung auszuführen und zu beobachten, bevor sie im Netzwerk zugelassen wird. Dies ermöglicht eine Entdeckung der Malware, bevor sie die Systeme infiltrieren und Schäden verursachen kann.
  • Kontrolle aller Infiltrations- und Exfiltrationspunkte: Advanced-Malware-Präventions- und Schutzmaßnahmen sollten sich auf die Sicherung von Bedrohungsvektoren – sowohl Infiltrations- als auch Exfiltrationspunkte – konzentrieren, um das Potenzial für Infektionen und Datendiebstahl zu minimieren. Die Anwendung von Kontrollen auf Vektoren wie E-Mail, Internetverbindungen, Dateitransfer und USB bietet Schutz vor Advanced-Malware-Infektionen für Angriffe im Frühstadium sowie die Datenexfiltration im Falle einer erfolgreichen Advanced-Malware-Infektion.
  • Verschlüsselung sensibler Daten: Alle sensiblen Datenbestände sollten verschlüsselt sein und alle Schlüssel als letzte Verteidigungslinie sicher gespeichert werden. Dies trägt dazu bei, dass der Schaden so gering wie möglich bleibt, auch wenn das Netzwerk infiltriert wird und das Ereignis nicht erkannt wird.
  • Sicherheitsschulungen: Schließlich ist es angesichts der immer ausgefeilteren Social-Engineering-Angriffe auch wichtig, den Mitarbeitern umfassende und kontinuierliche Cybersicherheitsschulungen zu bieten. Phishing-Angriffe sind eine beliebte Methode für Advanced-Malware-Angriffe, weshalb es wichtig ist, dass die Mitarbeiter mit den Taktiken der Cyberkriminellen vertraut sind.

 

Die Bedrohung durch Advanced Malware wird auch zukünftig weiter steigen. Um sensible Daten wie Geschäftsgeheimnisse, geistiges Eigentum, Finanz- und Kundendaten zu schützen, benötigen Unternehmen deshalb einen mehrschichten Security-Ansatz aus Mitarbeitertrainings und Technologien. Advanced-Threat-Detection-Tools sowie Sicherheitslösungen, die Data Loss Prevention (DLP), Endpoint Detection and Response (EDR) und die Überwachung von Anomalien im Nutzer- und Entitätsverhalten auf Basis von Machine Learning gewährleisten, können das Risiko von Datenexfiltration und Spionage durch Advanced-Malware-Angriffe erheblich reduzieren.

Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

 

32 Artikel zu „atp threat“

Cyberkrieg durch Advanced Persistent Threats – Präventive IT-Security reicht nicht mehr aus

Die Erfahrung zeigt, dass bei mehrstufigen Advanced-Persistent-Threats-Angriffen mit klassischen Filter- und Präventivmaßnahmen kein Land zu gewinnen ist. Schutz bietet nur ein ganzheitlicher IT-Security-Ansatz, der sich auf eine umfassende Lifecycle-Defense gründet und bekannte und unbekannte Bedrohungen zuverlässig stoppt.

Data Security as a Service in Zeiten des Fachkräftemangels

Datendieben einen Schritt voraus. Für Cyberkriminelle sind sensible Unternehmensdaten Gold wert: Gestohlene Kundeninformationen und Account-Logins von Mitarbeitern ermöglichen Betrug und Identitätsdiebstahl; geistiges Eigentum und Geschäftsgeheimnisse lassen sich lukrativ an die Konkurrenz verkaufen. Kontrolle über ihre Daten zu gewinnen, ist in Zeiten massiv wachsender Datenmengen für Unternehmen jeder Größe eine Herausforderung. E-Mails, Kollaborationstools und mobile Geräte…

23 Millionen Bürger machen Steuererklärung im Internet

  Zahl der Online-Steuererklärungen steigt um 5 Prozent Abgabefrist Ende Juli: Steuerpflichtige haben erstmals zwei Monate länger Zeit   Tippen und Klicken statt Lochen und Heften: Immer mehr Bundesbürger schwören dem Papierkrieg ab und reichen ihre Steuerklärung einfach online beim Finanzamt ein. 23,1 Millionen Steuerzahler erklärten ihre Einkommenssteuer für das Steuerjahr 2017 elektronisch über den…

Videos, Webinare und Whitepaper: DE-CIX Academy gibt wertvolle Informationen  für die Peering-Praxis

DE-CIX, Betreiber des weltgrößten Internetknotens in Frankfurt am Main, hat für seine Kunden und andere Interessierte mit der DE-CIX Academy ein spezielles Schulungsprogramm aufgelegt. Dieses erfolgt weitgehend in Form von White Paper und Webinaren, an denen Zuschauer live teilnehmen oder sich die Aufnahmen im Nachgang ansehen können. Zusätzlich dazu werden Handout-Unterlagen zum Download bereitgestellt. Wolfgang…

Windows 10 ist besonders anfällig: Jeder fünfte Heim-PC ist Zielscheibe für Cyberkriminelle

  Deutschland auf Platz 12 der weltweit sichersten Länder, Österreich auf Platz 4, Schweiz auf Platz 6 Betriebssystem-Check: Windows 10 ist besonders anfällig für »Advanced Threats«   Avast deckt in seinem Avast Global PC Risk Report das Gefahrenpotenzial für Privatcomputer auf [1]. Das Ergebnis der weltweiten Analyse: Für Anwender von Windows 7, 8 und 10…

Mit dem Risiko leben: die neue Normalität

Es klingt wie eine Binsenweisheit zumindest für diejenigen, die sich täglich mit nichts anderem befassen als mit den Herausforderungen der IT-Sicherheit: die Risiken sind omnipräsent und sie treffen (fast) unterschiedslos alle. Allerdings hat der soeben veröffentlichte 2019 Thales Data Threat Report – Global Edition auf Basis der Erhebungen und Analysen von IDC auch andere Erkenntnisse…

Weihnachten: Ein Fest für Datendiebe

So schützen sich Verbraucher und Online-Händler gegen Cyberattacken. Der Online-Handel floriert zur Weihnachtszeit und wird gleichzeitig zum Schauplatz für Cyber Crime: Verbraucher wie Shop-Betreiber stehen jetzt verstärkt im Fadenkreuz von Cyberangriffen. Denn in der umsatzstärksten Jahreszeit sind Händler eher mit ihrem Tagesgeschäft beschäftigt und kümmern sich weniger um die IT-Sicherheit. Oft wird auch die Besetzung…

Gefährliche Weihnachtszeit

Für Unternehmen und Behörden ist die Weihnachtszeit alles andere als besinnlich. Während Hacker Mitarbeiter verstärkt mit Malware drangsalieren, sind ausgerechnet die IT-Abteilungen unterbesetzt. Was nach dem perfekten Rezept für den IT-Sicherheits-GAU klingt, kann aber einfach vermieden werden, sagt IT-Sicherheitsexperte Bromium. Alle Jahre wieder konfrontiert die Weihnachtszeit Unternehmen mit der immer gleichen Herausforderung. Einerseits senden Cyberkriminelle…

Immer mehr Europäer wohnen in Smart Homes, Deutschland zieht nur langsam mit

  Nach einer Studie im Auftrag von Linksys, einem Spezialisten für Home-Networking-Lösungen, wird das Zuhause der meisten Europäer durch den Einsatz von IoT-Geräten immer »smarter«. Die Bandbreite reicht von smartem Licht, Temperaturreglern und Kühlschränken hin zu selbstlernenden Haushaltsgeräten. Die Deutschen halten sich beim Kauf vernetzter Heimgeräte jedoch im Vergleich eher zurück – ein Trend, den…

Ransomware as a Service: Cybererpressung auf Bestellung

Geschäftsmodell Satan & Co.     CryptoLocker, GoldenEye, Locky, WannaCry – Ransomware hat mit der Geiselnahme von Dateien durch Verschlüsselung in den letzten Jahren eine beachtliche und unrühmliche Karriere hingelegt. Und da sich Kriminelle auch bei Digitalisierungstrends wie as-a-Service-Angeboten nicht lumpen lassen, hat die Untergrundökonomie mit Ransomware as a Service (RaaS) rasch ein lukratives Geschäftsmodell…

Smart Home: Nur Geräte mit Datenschutzerklärung kaufen

Effiziente Energienutzung, erhöhte Sicherheit sowie gesteigerte Wohn- und Lebensqualität: Ein Smart Home bietet dank vernetzter und fernsteuerbarer Geräte sowie Installationen viele Möglichkeiten. Doch obwohl das Ergebnis verlockend ist, sorgen sich viele Konsumenten um die Sicherheit ihrer Daten und um ihre Privatsphäre. Zu Unrecht, wie Günter Martin, Internet-Experte bei TÜV Rheinland, sagt: »Um die volle Kontrolle…

Cybersecurity-Trends 2018: In fünf Jahren rund 500 vernetzte Geräte in jedem Privathaushalt

Smart Home schon bald Standard. Datensicherheit und Schutz vor »Cybereinbrüchen« hängt hinterher. Unabhängige Prüfungen für vernetzte »smarte« Produkte erforderlich.   Das Smart Home ist längst Realität, aber noch nicht Standard. Experten von TÜV Rheinland gehen davon aus, dass sich das sehr schnell ändern wird: Bereits in fünf Jahren werden sich ihrer Einschätzung nach in jedem…